王 倩，劉楊鉞，牛 昊

隨著全球數(shù)據(jù)的爆發(fā)式增長與大規(guī)模跨境流動，越來越多的數(shù)據(jù)泄露、竊取、濫用等事件引發(fā)了世界各國對數(shù)據(jù)安全的關注和擔憂，日益重視對跨境數(shù)據(jù)流動進行管控與規(guī)制。在這一過程中，歐盟形成了獨具特色、安全高效的立法規(guī)制模式，其既對全球數(shù)據(jù)安全整體環(huán)境產(chǎn)生深刻影響，也對我國構建符合國家利益與安全需要的數(shù)據(jù)治理體系有著重要借鑒意義。本文試圖在闡述跨境數(shù)據(jù)流動規(guī)制必要性的基礎上，對歐盟跨境數(shù)據(jù)流動規(guī)制的歷史沿革進行梳理，總結其主要特點，分析我國跨境數(shù)據(jù)流動規(guī)制現(xiàn)狀，為我國跨境數(shù)據(jù)流動規(guī)制提供建設性意見。

一、跨境數(shù)據(jù)流動規(guī)制的必要性

在跨境數(shù)據(jù)流動影響人類世界安全穩(wěn)定之前，其概念早已出現(xiàn)。雖然國際上并沒有對“跨境數(shù)據(jù)流動”這一概念進行統(tǒng)一規(guī)定，但綜合來看，其具有個人數(shù)據(jù)能夠被除本國外的其他主體獲取和使用且不僅僅局限于是否存儲于本國這一條件的特點。因此，基于以往的研究與歷史材料，本文將跨境數(shù)據(jù)流動定義為：個人數(shù)據(jù)無論是存儲在國內，還是實際上以跨越國界的形式存在，只要能夠被境外主體獲取并使用就可以稱為跨境數(shù)據(jù)流動。數(shù)據(jù)本身具有規(guī)模海量、流轉快速、類型多樣、價值巨大等特征①張莉.數(shù)據(jù)治理與數(shù)據(jù)安全［M］.北京：人民郵電出版社，2020：5.，其在促進人類社會發(fā)展的同時，人們很難實現(xiàn)對其完全意義上的控制?？缇硵?shù)據(jù)流動在帶來經(jīng)濟紅利的同時，也對國家、企業(yè)和個人安全造成極大威脅。為了防范數(shù)據(jù)泄露造成的嚴重后果，維護數(shù)據(jù)安全，同時尋求國際網(wǎng)絡空間話語權，提升綜合國力，對跨境數(shù)據(jù)流動進行規(guī)制成為各個國家和地區(qū)的必要之舉。

（一）直接動力：防范數(shù)據(jù)泄露產(chǎn)生的嚴重后果

在“斯諾登事件”之前，全球跨境數(shù)據(jù)流動基本處于自由流動的狀態(tài)，各國享受著數(shù)據(jù)跨境流動帶來的巨額收益，對數(shù)據(jù)的監(jiān)管和規(guī)制并未給予高度重視。隨著該事件的出現(xiàn)，全球各國意識到跨境數(shù)據(jù)為各國帶來高額紅利的同時，也蘊含著巨大風險，尤其是某些關鍵重要數(shù)據(jù)的泄露，不僅會使各國經(jīng)濟遭受致命打擊，而且會嚴重威脅國家主權、安全與發(fā)展利益。2021 年2 月發(fā)布的第47次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2020年12月，國家計算機網(wǎng)絡應急技術處理協(xié)調中心（CNCERT）監(jiān)測發(fā)現(xiàn)我國境內被篡改的網(wǎng)站數(shù)量為243709個；我國境內被植入后門的網(wǎng)站數(shù)量為61948個，其中被植入后門的政府網(wǎng)站數(shù)量為276個①第47 次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》［R/OL］.（2021-02-03）［2021-12-20］.http：//www.cac.gov.cn/2021-02/03/c_1613923423079314.htm.。跨境數(shù)據(jù)安全尤其是跨境數(shù)據(jù)泄露展現(xiàn)出巨大威脅：公民數(shù)據(jù)被他國所竊取、利用，個人隱私受到侵犯；國家數(shù)據(jù)被泄露，對一國的政治安全和經(jīng)濟安全構成了巨大威脅，嚴重侵害了受害國的國家主權、安全和發(fā)展利益。

（二）外在動力：提升國際網(wǎng)絡空間制度性話語權

隨著互聯(lián)網(wǎng)技術的高速發(fā)展，網(wǎng)絡空間成為繼陸地、海洋、太空、外太空之外的“第五空間”②苗繪.GDPR跨境數(shù)據(jù)流動規(guī)則研究［D］.鄭州：鄭州大學，2020.，為全球發(fā)展帶來了高額利潤和重大機遇。當前，各國紛紛將目光轉向網(wǎng)絡空間，力圖在此領域獨占鰲頭，爭奪話語權。一方面，各國在網(wǎng)絡空間領域的發(fā)展除了面臨技術上的難題之外，必然會受到美國這個超級大國的威脅與遏制?！八怪Z登事件”所暴露出的大型網(wǎng)絡監(jiān)視行動，對于美國而言早已成為其用來控制網(wǎng)絡空間主導權的慣用伎倆。依靠其先進的互聯(lián)網(wǎng)技術和管理方法，美國掌握著全球絕大部分互聯(lián)網(wǎng)的控制權。當前全球IPv4 根服務器一共有13 臺，1 臺為主根服務器（在美國），其余12臺為輔根服務器（其中9 臺在美國、2 臺在歐洲、1 臺在日本）③陳靜.國內域名系統(tǒng)建設“軟硬”兼?zhèn)洌跱］.經(jīng)濟日報，2019-07-04（07）.。另一方面，互聯(lián)網(wǎng)技術相對處于劣勢但立法體系相對成熟的歐盟，正試圖通過統(tǒng)一立法等措施構建區(qū)域性單一數(shù)字市場。Gaia-X（“蓋亞X”）計劃以及“歐盟數(shù)字新政”的制定使歐盟在網(wǎng)絡空間博弈中不斷獲得有利地位，構建單一數(shù)字市場的目標不斷得到實現(xiàn)。當前，各國爭相尋求網(wǎng)絡空間話語權，紛紛出臺相關政策，加大對跨境數(shù)據(jù)流動的監(jiān)管與規(guī)制。我國要想尋求網(wǎng)絡空間話語權，對跨境數(shù)據(jù)進行規(guī)制實為題中之義。

（三）內在動力：提升我國跨境數(shù)據(jù)治理能力和綜合國力

對跨境數(shù)據(jù)流動進行規(guī)制，既是對跨境數(shù)據(jù)治理內涵和外延不斷深化的過程，也是對各國國內法律法規(guī)不斷完善和深化的過程。美國在“9·11”事件之后推出的《外國情報監(jiān)視法》，使美國外國情報監(jiān)視法庭有權簽署秘密指令，授權美國聯(lián)邦調查局獲取第三方的數(shù)據(jù)記錄。其雖然作為“棱鏡門”的掩護出現(xiàn)，但也反映出國家在面對跨境數(shù)據(jù)流動造成的威脅時，法律法規(guī)的不斷完善和制定不失為一種有效的解決辦法?？缇硵?shù)據(jù)流動這一現(xiàn)象雖然不是首次出現(xiàn)，但國內與此相關的研究相對較少，缺乏認真研究和詳細規(guī)制。國內相關法律內容的不足，使數(shù)據(jù)安全面臨極大風險，數(shù)據(jù)治理能力有待提升。

跨境數(shù)據(jù)作為發(fā)展數(shù)字經(jīng)濟必不可少的一個方面，不僅可以促進各國經(jīng)濟實現(xiàn)大幅度增長，同時還可以提高國家綜合國力，成為帶動國民經(jīng)濟發(fā)展的重要動能。2020 年，自新冠肺炎疫情暴發(fā)以來，全球數(shù)字經(jīng)濟規(guī)模達到32.6萬億美元，同比名義增長3.0%，占GDP比重為43.7%。發(fā)達國家數(shù)字經(jīng)濟規(guī)模大、占比高，2020 年規(guī)模達到24.4 萬億美元，占GDP 比重為54.3%；發(fā)展中國家數(shù)字經(jīng)濟增速更快，2020 年增速達到3.1%。美國數(shù)字經(jīng)濟蟬聯(lián)世界第一，規(guī)模達到13.6 萬億美元，中國位居世界第二，規(guī)模為5.4 萬億美元①中國信通院余曉暉解讀《全球數(shù)字經(jīng)濟白皮書——疫情沖擊下的復蘇新曙光》［EB/OL］.（2021-08-02）［2021-12-20］.https：//mp.weixin.qq.com/s/G3Mi8GlNOVRygGEfGsAiHw.。面對跨境數(shù)據(jù)流動所蘊含的巨大價值，對跨境數(shù)據(jù)流動進行規(guī)制自然也成為極富價值和意義的舉措。

二、歐盟跨境數(shù)據(jù)流動規(guī)制的歷史沿革及特點

20 世紀70 年代，隨著互聯(lián)網(wǎng)行業(yè)興起，關于跨境數(shù)據(jù)流動的規(guī)制已然開始。歐盟成立之后，在跨境數(shù)據(jù)流動規(guī)制領域以其獨特的歷史背景，在不斷探索中形成了以尊重數(shù)據(jù)主體權利為名、以增強網(wǎng)絡空間競爭優(yōu)勢為實的“歐盟模式”。對歐盟跨境數(shù)據(jù)流動規(guī)制模式的歷史沿革進行分析，剖析歐盟跨境數(shù)據(jù)流動規(guī)制模式，有助于更好把握跨境數(shù)據(jù)流動規(guī)制的內容涵義和框架體系，從而為我國跨境數(shù)據(jù)流動規(guī)制建立提供借鑒。

（一）歐盟跨境數(shù)據(jù)流動規(guī)制的歷史沿革

早在歐盟成立以前，歐洲國家就已開始對個人信息進行保護。1970 年，德國黑森州制定了世界上最早的個人信息保護法，瑞典在1973 年制定了世界上第一部國家級個人信息保護法②黃寧，李楊.“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進與成因［J］.清華大學學報（哲學社會科學版），2017（5）：172-182.。在此階段，歐洲各國處于跨境數(shù)據(jù)流動立法探索階段，主要目的是防止企業(yè)通過規(guī)避措施將個人數(shù)據(jù)傳輸?shù)饺鄙贁?shù)據(jù)保護的國家，從而對本國數(shù)據(jù)安全造成威脅。由于歐洲各個國家基于本國國情采取的立法實踐使歐共體成員國之間的數(shù)據(jù)傳輸極為不便，因而有必要采取措施使歐共體成員國內部形成統(tǒng)一的立法規(guī)則，以便各成員國內部的數(shù)據(jù)傳輸暢通無阻。由此，1981年《有關個人數(shù)據(jù)自動化處理的個人保護公約》（以下簡稱《公約》）應運而生。《公約》的主要目標是減少歐共體成員國內部的立法限制，提出不能以保護隱私為由限制數(shù)據(jù)流動。作為首個歐洲大陸上以跨境數(shù)據(jù)流動為主要內容的區(qū)域性立法，以及第一份對此有一定約束力的國際文書，《公約》對當時促進歐共體成員國內部的數(shù)據(jù)傳輸起了很大作用。由于《公約》并不具有實質約束力，無法向個人和企業(yè)提供明確參照標準，且各成員國之間具有較大差異，嚴重阻礙了歐共體內部之間個人數(shù)據(jù)的傳輸流動，使歐共體內部跨境數(shù)據(jù)流動規(guī)制的統(tǒng)一仍然存在很大問題。

1993 年歐盟成立后，歐盟國家對跨境數(shù)據(jù)流動規(guī)制進一步加強。1995 年，《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》（以下簡稱《指令》）的出臺，才使上述問題的解決更進一步。《指令》作為歐盟國家個人數(shù)據(jù)保護進入“大一統(tǒng)”時代的標志，奠定了歐盟在數(shù)據(jù)跨境流動領域的主導地位，“成為了個人數(shù)據(jù)隱私保護的標桿”③張夢珠.數(shù)據(jù)跨境流動的法律制度研究［D］.廈門：廈門大學，2019.。其主要通過“充分性保護模式”“適當性保障措施”及“例外情況”來體現(xiàn)，此三項措施的提出使歐盟跨境數(shù)據(jù)流動規(guī)制更加詳細和具體，為歐盟跨境數(shù)據(jù)傳輸提供了更加詳細的指導和建議。相比于《公約》，《指令》立場更加鮮明，具有較強法律約束力，對數(shù)據(jù)傳輸范圍、傳輸對象的定義等實行了更嚴格的數(shù)據(jù)保護機制。同時，《指令》在實際運用中也存在以下缺點：第一，不具有直接法律效力，需要歐盟成員國將其內化為本國國內法后才適用；第二，各國歷史傳統(tǒng)和法律制度各有不同，《指令》在內化為國內法的過程中呈現(xiàn)出參差不齊的狀態(tài)，使各成員國內部在進行數(shù)據(jù)傳輸時受到不同程度的阻礙；第三，歐盟的法律規(guī)制呈現(xiàn)出“分割”的特點，其帶有的不確定性導致公眾開始對網(wǎng)絡安全性產(chǎn)生懷疑①曹秋涵.跨境數(shù)據(jù)流動下歐盟第三國保護水平“充分性”評估制度評述［D］.上海：華東政法大學，2020.；第四，《指令》對數(shù)據(jù)出境的限制較為嚴苛，使企業(yè)特別是跨國性企業(yè)在經(jīng)營上存在較大障礙。

為了更好地應對全球化帶來的數(shù)據(jù)安全問題及解決《指令》存在的不足，歐盟在2018 年出臺的《通用數(shù)據(jù)保護條例》（GDPR，以下簡稱《條例》）在效力、管轄、范疇、合法性原則、數(shù)據(jù)主體權力、控制者與處理者的義務、向第三方國家或國際組織轉移數(shù)據(jù)以及在實施與監(jiān)督等方面都作出新改動。《條例》的主要目標是保護同盟國之間的數(shù)據(jù)流動，比起《指令》，其主要進步之處表現(xiàn)為：在所有成員國范圍內都具有法律約束力；數(shù)據(jù)保護標準更加嚴格、具體；謀求更大的域外效力；在一定程度上放寬了個人數(shù)據(jù)跨境傳輸?shù)臈l件、情形；在監(jiān)管方面，引入了數(shù)據(jù)專員制度?！稐l例》對數(shù)據(jù)主體權利義務約定較為具體詳細，是當前歐盟地區(qū)跨境數(shù)據(jù)流動政策的主要指導性法律文件。其修正了前兩部法案的不足，在跨境數(shù)據(jù)流動保護方面作出了很多改動，使歐盟跨境數(shù)據(jù)流動規(guī)制得到了進一步完善。

歐盟的跨境數(shù)據(jù)流動規(guī)制始終處于不斷嘗試與摸索中。近年來，歐盟出臺了旨在規(guī)范個人數(shù)據(jù)保護機構的《2018/1725號條例》，旨在促進歐盟境內非個人數(shù)據(jù)自由流動的《非個人數(shù)據(jù)自由流動條例》，著重解決歐盟與成員國、公共部門與私營部門之間割裂關系的第一版《網(wǎng)絡與信息系統(tǒng)安全指令》，力求在法律約束與彈性發(fā)展之間達成平衡的第二版《網(wǎng)絡與信息系統(tǒng)安全指令》，為應對新出現(xiàn)的數(shù)字挑戰(zhàn)而提出的《數(shù)字服務法案》等法律法規(guī)，對個人和非個人數(shù)據(jù)都進行了相應的規(guī)制，規(guī)制模式逐漸朝全面化、精細化、嚴格化、規(guī)范化方向發(fā)展。

（二）歐盟跨境數(shù)據(jù)流動規(guī)制的特點

1.規(guī)制形式：統(tǒng)一立法，事前規(guī)制。在跨境數(shù)據(jù)流動的規(guī)制中，歐盟采取統(tǒng)一行動、事前規(guī)制的形式，形成了以“充分性保護模式”為主，“適當性保障措施”和“例外情況”為補充的模式。

（1）“充分性保護模式”。在進行數(shù)據(jù)跨境傳輸?shù)倪^程中，歐盟要求數(shù)據(jù)接收國必須符合歐盟價值觀，具有明確標準，所提供的數(shù)據(jù)保護水平相當于歐盟內部水平，并且具備獨立數(shù)據(jù)保護監(jiān)督機制的規(guī)制方式，此即“充分性保護模式”。這一模式雖然使數(shù)據(jù)安全得到充分保障，但從現(xiàn)實情況來看，其存在著許多問題。其一，能與歐盟高水平規(guī)制模式相媲美的國家少之又少，目前滿足歐盟充分性認定水平的國家僅有13 個；其二，各國及其內部各地區(qū)在數(shù)據(jù)保護方向上存在差異，對各國的數(shù)據(jù)保護水平進行評估存在不少困難；其三，評估一個國家的數(shù)據(jù)保護水平是一項具有政治敏感性的操作，可能會影響國與國之間的關系。

（2）“適當性保障措施”。在上述情況下，歐盟委員會提出達到“適當性保障措施”也可被視為達到了“充分性保護水平”。也就是說，在數(shù)據(jù)輸入國并未達到“充分性保護模式”條件的情況下，對數(shù)據(jù)主體進行充分保障也可以成為數(shù)據(jù)進行跨境數(shù)據(jù)傳輸?shù)谋匾獥l件?！斑m當性保障措施”主要包括“標準合同模式”（BCRs）和“約束性公司規(guī)則”（SCCs），二者實際上是歐盟跨境數(shù)據(jù)流動規(guī)制中一條稍為寬松可行的路徑。其一，“標準合同模式”。此種模式是指當數(shù)據(jù)跨境流動到數(shù)據(jù)接收國時，只要數(shù)據(jù)接收國內有公司或企業(yè)符合歐盟“充分性保護水平”，數(shù)據(jù)跨境傳輸行為即可展開?！皹藴屎贤Ｊ健敝饕m用于歐盟與跨國公司間的數(shù)據(jù)跨境傳輸，有效地增加了數(shù)據(jù)跨境傳輸?shù)撵`活性與便捷性，不需要數(shù)據(jù)接收國作為一個整體來滿足歐盟“充分性保護水平”的標準，降低了數(shù)據(jù)接收國達到“充分性保護水平”的要求，提高了歐盟與數(shù)據(jù)接收國之間數(shù)據(jù)跨境流動的效率。盡管如此，“標準合同模式”仍然存在一些問題，如“第三方受益條款”方面不能對跨國公司內部進行規(guī)制、跨境需求繁多而合同有效性極為短暫、每次簽訂合同需花費大量時間及精力等。其二，“約束性公司規(guī)則”。在上述情況下，相應出現(xiàn)“約束性公司規(guī)則”?！凹s束性公司規(guī)則”主要適用于跨國公司對歐盟境內數(shù)據(jù)的收集和獲取，其實踐性和操作性比“標準合同條款”更加高效強大?！凹s束性公司規(guī)則”在申請程序上比“標準合同模式”的申請方便快捷很多，大大節(jié)省了進行跨境數(shù)據(jù)流動前所要花費的時間和精力。同時，其可以對跨國公司內部進行規(guī)制，是“標準合同模式”強有力的補充措施。雖然“約束性公司規(guī)則”在一定程度上彌補了“標準合同模式”的缺點，但仍然存在缺乏相應代理機構、各地由于立法差異而出現(xiàn)數(shù)據(jù)保護水平不一致的情況。同時，該規(guī)則很有可能出現(xiàn)與各成員國當?shù)胤ㄒ?guī)相沖突等問題。

（3）“例外情況”。除了“充分性保護模式”和“適當性保障措施”之外，歐盟還允許“例外情況”的出現(xiàn)，“例外情況”主要包括數(shù)據(jù)主體同意、涉及公共利益以及法律公開允許等。進行傳輸?shù)臄?shù)據(jù)若符合“例外情況”，也被允許進行跨境流動。但是“例外情況”也存在條款過于寬泛，在具體操作流程上仍需要進一步細化或進行法律規(guī)制等問題。

歐盟長期形成的事前規(guī)制模式，實際上在數(shù)據(jù)進行跨境傳輸之前為數(shù)據(jù)設置了一層牢固的屏障，使數(shù)據(jù)除了受本國充分保護之外，還受到數(shù)據(jù)接收國同樣水平的保護。雖然歐盟高標準、嚴要求的數(shù)據(jù)保護水平一度使許多想與其進行數(shù)據(jù)跨境傳輸?shù)膰彝鴧s步，但“標準合同模式”和“約束性公司規(guī)則”的設置作為“充分性保護模式”的補充規(guī)則在很大程度上緩解了這一困境，為各國和歐盟之間的跨境數(shù)據(jù)流動合作實際上提供了一條更為寬松且可行的路徑。但事前規(guī)制模式在實施過程中存在對數(shù)據(jù)安全標準設定較高、法律規(guī)定過于抽象以及執(zhí)行機制較為低效等問題，導致各規(guī)則內容流于形式、規(guī)制效果較為低效，這在一定程度上影響了歐盟與其他各國跨境數(shù)據(jù)流動的發(fā)展進程。

2.治理目標：以尊重數(shù)據(jù)主體權利為名、增強網(wǎng)絡空間競爭優(yōu)勢為實。歐盟在進行跨境數(shù)據(jù)流動規(guī)制的過程中，始終以保護數(shù)據(jù)主體權利為由，不斷通過立法建立規(guī)則體系，但實質是增強其在網(wǎng)絡空間中的競爭優(yōu)勢。歐盟形成這樣的規(guī)制目標，既與其較為重視數(shù)據(jù)主體安全的價值觀相關聯(lián)，也與其沒有如同美國一樣強大的互聯(lián)網(wǎng)技術有關。1981 年的《公約》、1995 年的《指令》以及2018 年的《條例》等文件的頒布，充分體現(xiàn)了歐盟保護個人數(shù)據(jù)、構建區(qū)域性單一數(shù)字市場的決心。《公約》作為歐洲大陸上首個對數(shù)據(jù)跨境流動作出規(guī)定的區(qū)域性立法①袁立鳴.個人數(shù)據(jù)跨境流動規(guī)則法律研究［D］.上海：華東政法大學，2019.，提出各成員國需要平衡個人隱私保護與個人數(shù)據(jù)跨境流動兩者之間的關系，不能為了個人隱私而絕對禁止個人數(shù)據(jù)進行跨境數(shù)據(jù)流動，也不能過度注重個人隱私而忽視個人數(shù)據(jù)自由流動。隨后的《指令》中關于“充分性保護模式”“標準合同模式”以及“約束性公司規(guī)則”的提出，都表明了歐盟對于數(shù)據(jù)主體權利及安全的重視。2018 年《條例》的頒布，在《指令》的基礎上增加了被遺忘權、限制處理權、持續(xù)控制權以及拒絕權等，進一步擴大了數(shù)據(jù)主體權利。

與美國“誰擁有數(shù)據(jù)誰就擁有控制權”這種類型的“長臂管轄”不同的是，歐盟“長臂管轄”最為鮮明的體現(xiàn)是“充分性保護模式”的提出?！俺浞中员Ｗo模式”要求所有試圖與其進行數(shù)據(jù)跨境傳輸?shù)膰叶紦碛泻推渫瘸潭鹊臄?shù)據(jù)保護水平，這一做法在很大程度上迫使許多國家不得不修改國內相關法律法規(guī)，以迎合歐盟高標準的準入門檻。不得不承認的是，該模式確實使歐盟保護數(shù)據(jù)主體權利的目標得到較大程度實現(xiàn)，但其實質反映出歐盟試圖通過以該模式為代表的一系列法律法規(guī)來主導網(wǎng)絡空間規(guī)則制定，以此增強其在網(wǎng)絡空間中的競爭優(yōu)勢，繼而在國際競爭中處于有利位置。

3.管轄方式：外嚴內松，內外兼顧。歐盟在進行跨境數(shù)據(jù)流動規(guī)制的過程中，出于對數(shù)據(jù)主體權利的保護和構建單一數(shù)字市場的雙重考慮，形成了“外嚴內松，內外兼顧”的管轄方式。與其他國家進行雙邊或多邊跨境數(shù)據(jù)交流的過程中，歐盟呈現(xiàn)出較為保守的態(tài)勢，尤其是《指令》中提出的“充分性保護模式”要求數(shù)據(jù)接收國具有和歐盟同等水平的數(shù)據(jù)保護能力，但事實上，很少有國家能達到歐盟的要求。同時，“充分性保護水平”的認定過程需要一個較長周期，可能會導致很多有意向和歐盟合作的國家轉而尋找新的合作方?！皹藴屎贤Ｊ健焙汀凹s束性公司規(guī)則”的提出雖然在一定程度上緩解了這種情況，為各國與歐盟的合作提供了更為可行的路徑，但相對來說，歐盟對外政策呈現(xiàn)出較為嚴格的趨勢。

與歐盟在對外數(shù)據(jù)保護政策上表現(xiàn)出明顯的高標準嚴要求傾向不同的是，對內打造一個單一的數(shù)字市場也是歐盟長期以來的數(shù)字目標。在此目標下，歐盟內部國內立法呈現(xiàn)出較為寬松的態(tài)勢。1981年《公約》的主要目標是減少歐共體內部國內法對數(shù)據(jù)流動造成的障礙，使數(shù)據(jù)實現(xiàn)區(qū)域內自由流動。1995 年的《指令》進行了更詳細的規(guī)制，具備更強的法律約束力。隨后2018 年通過的《條例》在《指令》的基礎上，一改之前歐盟各成員國需要將其轉換為國內法再進行應用的規(guī)則，使其成為區(qū)域內歐盟成員國可以直接應用而不必轉換的法律，使之具有了更強的法律約束力。同時，歐洲于2019年部署建設網(wǎng)絡云設施“蓋亞X”計劃，旨在創(chuàng)建一個面向歐洲、強大而有競爭力、安全可靠的數(shù)據(jù)基礎架構①張茉楠.跨境數(shù)據(jù)流動：全球態(tài)勢與中國對策［J］.開放導報，2020（2）：44-50.，力圖打造一個區(qū)域性單一數(shù)字市場。2020 年2 月，歐盟委員會發(fā)布《歐盟數(shù)字化總體規(guī)劃》《歐洲數(shù)據(jù)戰(zhàn)略》以及《人工智能白皮書》三個文本，即“歐盟數(shù)字新政”②同①。，這一系列措施表明了歐盟力圖構建單一數(shù)字市場的決心。相比外部規(guī)制體現(xiàn)出的高標準和嚴要求，歐盟內部規(guī)制相對寬松?？傮w而言，歐盟在跨境數(shù)據(jù)流動方面的管轄方式始終致力于維持歐盟內部和外部平衡，在打造內部統(tǒng)一市場、維護數(shù)據(jù)主體權利與爭奪網(wǎng)絡空間競爭優(yōu)勢之間不斷進行嘗試和制衡。

三、對我國跨境數(shù)據(jù)流動規(guī)制模式的啟示

以歐盟為代表的跨境數(shù)據(jù)流動規(guī)制模式，其實質是在跨境數(shù)據(jù)流動規(guī)制方面更傾向于“數(shù)據(jù)安全”。相比于立法森嚴的歐盟，我國在跨境數(shù)據(jù)流動規(guī)制方面正處于初級階段，結合我國國情，借鑒歐盟在跨境數(shù)據(jù)流動方面的規(guī)制經(jīng)驗對加強我國數(shù)據(jù)跨境流動治理極為必要。

（一）我國跨境數(shù)據(jù)流動規(guī)制現(xiàn)狀

在2017年6月1日的《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）出臺以前，我國跨境數(shù)據(jù)流動并沒有專門的立法規(guī)制，存在統(tǒng)一立法缺失、相關法律法規(guī)較為分散等問題。個人信息規(guī)制主要針對個別出現(xiàn)問題的專業(yè)性領域進行立法，集中于某一行業(yè)或領域，諸如《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》《征信業(yè)管理條例》《中華人民共和國電子商務法》《中華人民共和國測繪法》等法律法規(guī)和文件，主要分布于醫(yī)藥、科學、金融、網(wǎng)絡安全、人口健康、信息管理業(yè)、地圖等領域，尚未形成一套系統(tǒng)、完整的法律規(guī)制體系。法律法規(guī)的分行業(yè)設置雖然可以對各行業(yè)或領域進行較為詳細的規(guī)定，但也可能會出現(xiàn)交叉領域立法設置困難，企業(yè)及個人甚至執(zhí)法者法令搜索煩瑣等問題。

《網(wǎng)絡安全法》是我國第一部對網(wǎng)絡空間進行系統(tǒng)化規(guī)劃的法律文件，其出臺后就成為網(wǎng)絡空間安全領域的綱領性文件，標志著我國對數(shù)據(jù)跨境流動的法律規(guī)制從“諸法分立”走向“協(xié)調統(tǒng)一”①王璐璐.數(shù)據(jù)跨境流動法律規(guī)制研究［D］.成都：四川省社會科學院，2020.。其目的雖然試圖對跨境數(shù)據(jù)建立一個統(tǒng)一性、基礎性法律框架，但也存在原則性規(guī)定過多、對數(shù)據(jù)規(guī)定并未觸及核心等問題。為進一步完善《網(wǎng)絡安全法》，《中華人民共和國數(shù)據(jù)安全法》于2021年6月頒布并實施。此法從多方面對數(shù)據(jù)安全前提下的跨境數(shù)據(jù)流動規(guī)則進行規(guī)定，是一部數(shù)字安全領域的基礎性法律。但其存在原則性條例過多、操作空間不足、調整對象過于寬泛等問題，仍需不斷更正和完善。2021 年8 月，《中華人民共和國個人信息保護法》構建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則，在一定程度上彌補了前兩部基礎性法律調整對象過于寬泛與原則性條例過多等不足，對跨境數(shù)據(jù)傳輸進行了較為具體的規(guī)定與闡述。我國正處于網(wǎng)絡空間治理的探索階段，主要存在以下幾類問題。

1.我國在進行跨境數(shù)據(jù)流動規(guī)制過程中，數(shù)據(jù)分類機構和數(shù)據(jù)監(jiān)督機構缺乏，規(guī)制機構設置不夠合理。一方面，在跨境數(shù)據(jù)流動領域，我國當前缺乏相對應的數(shù)據(jù)分類機構對數(shù)據(jù)進行詳細歸類與劃分，在數(shù)據(jù)流動前后并沒有相應的監(jiān)督機構進行監(jiān)督與管理。我國目前只是將數(shù)據(jù)區(qū)分為個人信息和重要數(shù)據(jù)，對于數(shù)據(jù)的分類并未窮盡所有數(shù)據(jù)的外延，個人信息中有時候也包括重要數(shù)據(jù)的存在。雖然許多下位法對數(shù)據(jù)的分類較為詳細，但仍然存在難以確定數(shù)據(jù)屬性等問題。另一方面，我國在數(shù)據(jù)分類機構和數(shù)據(jù)監(jiān)督機構的設置過程中存在設置不夠合理的問題，對職權和任務的劃分并不明確，在實際過程中難以實施。當前我國采取的辦法是由該行業(yè)或領域負責管理的機構進行監(jiān)督，此機構往往身兼數(shù)職，擔任保護、監(jiān)督、執(zhí)法等責任，長此以往會導致機構出現(xiàn)難以有效行使職權、任務冗雜等問題。同時，我國當前對跨境數(shù)據(jù)進行監(jiān)督的主要機構為政府，并未充分發(fā)揮企業(yè)監(jiān)管職能。政府監(jiān)管稍有不慎，容易引發(fā)數(shù)據(jù)保護和監(jiān)督工作效率降低的風險。

2.我國在國際網(wǎng)絡空間治理領域中話語權不足。2020 年以來，我國雖然已相繼簽署《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RCEP）和《中歐投資協(xié)定》，并向國際社會發(fā)起《全球數(shù)據(jù)安全倡議》，又積極申請加入《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP），正式提出申請加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA），但目前我國在數(shù)據(jù)流動層面的國際性質對話和合作非常匱乏，目前尚未加入GDPR 或CBPR體系，在把握跨境數(shù)據(jù)流動領域機遇方面存在不足。

3.正確對待跨境數(shù)據(jù)流動規(guī)制的數(shù)據(jù)本地化問題。出于對防范數(shù)據(jù)隱私泄露風險、保護企業(yè)利益、維護國家安全等因素的考量，當前包括我國在內的諸多國家在互聯(lián)網(wǎng)空間越來越重視跨境數(shù)據(jù)流動領域的安全性。數(shù)據(jù)本地化在很大程度上可以保護國家數(shù)據(jù)安全，但也應掌握好其中的度，否則會錯失在國際互聯(lián)網(wǎng)空間發(fā)展的寶貴機會。

（二）歐盟跨境數(shù)據(jù)流動規(guī)制模式對我國的啟示

借鑒歐盟相對成熟的跨境數(shù)據(jù)流動規(guī)制模式，立足于我國跨境數(shù)據(jù)流動領域現(xiàn)狀，在進行跨境數(shù)據(jù)流動規(guī)制的過程中，可以從以下幾方面著手完善。

1.完善相關領域立法，構建系統(tǒng)化法律規(guī)制體系。歐盟關于跨境數(shù)據(jù)流動的規(guī)制過程實際上是相關法律制度不斷完善和建立的過程。在不斷摸索與嘗試中，歐盟從最初的“充分性保護模式”發(fā)展到以“充分性保護模式”為主，“適當性保障措施”和“例外情況”為輔的模式，并形成了較為成熟的GDPR 體系。我國在進行跨境數(shù)據(jù)流動規(guī)制時，可借鑒歐盟為維護數(shù)據(jù)主體權利、注重數(shù)據(jù)安全所采取的措施，盡可能保護數(shù)據(jù)安全，形成一套具有中國特色的跨境數(shù)據(jù)規(guī)制方案。同時，我國在進行跨境數(shù)據(jù)流動的立法規(guī)制時，應盡可能以系統(tǒng)化、整體化、全面化、規(guī)范化視角進行規(guī)制，以形成一套較為充分且全面的政策法律規(guī)制體系，如出臺個人數(shù)據(jù)和隱私保護戰(zhàn)略，從頂層設計的角度研究制定數(shù)據(jù)安全與數(shù)據(jù)流動之間的關系，制定跨境數(shù)據(jù)流動相關的法律法規(guī)與政策；要提高跨境數(shù)據(jù)在憲法、民法典等上位法中的地位，明確個人數(shù)據(jù)、個人隱私的法律屬性；要加大力度落實上位法與各行業(yè)、領域法律的有效協(xié)調和銜接；不斷強化和加快落實《中華人民共和國個人信息保護法》，使個人信息、隱私的安全性得到增強；對《個人信息出境安全評估辦法（征求意見稿）》和《數(shù)據(jù)出境安全評估辦法（征求意見稿）》等法律的制定必須充分考慮維護數(shù)據(jù)安全等因素，盡可能有效解決以往法規(guī)的不足之處，對相關定義和實施細節(jié)進行全面化、系統(tǒng)化和整體化解釋，促使我國互聯(lián)網(wǎng)領域立法朝規(guī)范化、系統(tǒng)化方向邁進。

2.明確劃分規(guī)制職責，合理設置數(shù)據(jù)分類和監(jiān)督機構。在進行跨境數(shù)據(jù)流動規(guī)制的過程中，歐盟在數(shù)據(jù)分類和監(jiān)督機構設置方面的做法值得借鑒與思考。如歐盟以“充分性保護水平”考察數(shù)據(jù)接收國時，規(guī)定全面考察和掌握數(shù)據(jù)接收國或國際組織是否擁有1 個以上的獨立監(jiān)督組織，該獨立監(jiān)督組織是否擁有足夠的執(zhí)法權力以履行監(jiān)督職責①黃現(xiàn)清.跨境數(shù)據(jù)流動規(guī)制中個人隱私數(shù)據(jù)的保護研究［J］.征信，2020（10）：43-48.。

在跨境數(shù)據(jù)流動過程中，對數(shù)據(jù)進行合理分類可以實現(xiàn)數(shù)據(jù)利用最大化，對絕對不能進行傳輸?shù)臄?shù)據(jù)實行禁止流動，對在適當條件下可以進行傳輸?shù)臄?shù)據(jù)實行有條件流動，對于無條件進行傳輸?shù)臄?shù)據(jù)可以盡量實現(xiàn)充分流動。要有效區(qū)分個人數(shù)據(jù)和非個人數(shù)據(jù)，二者具有許多不相同的性質，不能混為一談。要建立統(tǒng)一的個人數(shù)據(jù)和非個人數(shù)據(jù)區(qū)分標準與實施標準，防止因為二者區(qū)分不清導致個人信息泄露的問題；要對非個人信息進行再分級分類，各領域都具有相對應的法律，例如金融、醫(yī)藥、信息等行業(yè)，雖然各領域完全不同，但在數(shù)據(jù)管理上仍存在共同之處，都具有元數(shù)據(jù)、主要數(shù)據(jù)、次要數(shù)據(jù)等重要性之分，每一行業(yè)都可以按重要性將數(shù)據(jù)進行分級分類。同時，一個具有強制力和約束力的監(jiān)督機構也必不可少。對跨境數(shù)據(jù)流動進行事前、事中以及事后監(jiān)督可以最大程度確保數(shù)據(jù)安全，實現(xiàn)經(jīng)濟利益最大化。我國關于跨境數(shù)據(jù)與保護層面的立法主要集中在互聯(lián)網(wǎng)和金融領域，主要由國家互聯(lián)網(wǎng)信息辦公室負責監(jiān)督。國家互聯(lián)網(wǎng)信息辦公室并非單純的監(jiān)督機構，其同樣“身兼多職”，在職能執(zhí)行過程中難免出現(xiàn)許多問題。我國應該建立單獨的數(shù)據(jù)監(jiān)督機構，負責監(jiān)督和管理各行業(yè)、各領域的監(jiān)督機構，根據(jù)情況制定統(tǒng)一的標準以及允許各監(jiān)督機構靈活應對實際情況；在制定和通過《個人信息出境安全評估辦法（征求意見稿）》和《數(shù)據(jù)安全管理辦法（征求意見稿）》的過程中，可以加強對數(shù)據(jù)的分級分類管理，對關鍵數(shù)據(jù)，如軍事、醫(yī)療、安全等領域進行嚴格把控，禁止出境等；對于可以實現(xiàn)信息共享的基礎信息，實行盡可能寬松的出境政策。

3.積極參與國際立法，把握網(wǎng)絡空間話語權。面對當前互聯(lián)網(wǎng)空間這一新興領域，全球各國伺機而動，力圖搶占先機，贏得網(wǎng)絡空間話語權，在國際上占據(jù)有利位置。歐盟在進行跨境數(shù)據(jù)流動規(guī)制的過程中，從《指令》到《條例》，其立法呈現(xiàn)出不斷國際化、尋求域外效力的趨勢。目前歐盟所形成的GDPR 體系因其法律條例的精準、完善而在國際上廣為流傳，成為以保護數(shù)據(jù)主體權利以及數(shù)據(jù)安全為主的國家紛紛模仿的范例。

我國若想在互聯(lián)網(wǎng)空間占據(jù)有利位置，就必須直面挑戰(zhàn)、抓住機遇，積極參與國際合作，在合作過程中獻智獻力獻策，展現(xiàn)大國擔當，努力爭取網(wǎng)絡空間話語權。應鼓勵和支持互聯(lián)網(wǎng)企業(yè)采取白名單機制、標準合同條款等措施拓寬歐盟市場，獲取數(shù)據(jù)。目前國際上較有影響力的兩大規(guī)制體系分別是CBPR 和GDPR，而我國當前并未加入任一體系。在未來的發(fā)展中，我國應該結合實際情況，對是否加入這兩個體系進行審慎考量。同時，“一帶一路”沿線國家跨境數(shù)據(jù)流動相關產(chǎn)業(yè)合作密切，我國與沿線國家進行跨境數(shù)據(jù)交流與合作具有一定基礎。在此基礎上，我國應積極與沿線國家構建網(wǎng)絡空間領域的“朋友圈”，共同探索多種跨境數(shù)據(jù)流動合作機制，努力構建網(wǎng)絡空間命運共同體，增強與沿線國家在網(wǎng)絡空間領域的交流、碰撞，提升我國網(wǎng)絡空間領域的影響力。

4.適度推行數(shù)據(jù)本地化，促進國內經(jīng)濟增長。習近平總書記在中央網(wǎng)絡安全和信息化領導小組第一次會議中指出：“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。”①習近平主持召開中央網(wǎng)絡安全和信息化領導小組第一次會議強調 總體布局統(tǒng)籌各方創(chuàng)新發(fā)展 努力把我國建設成為網(wǎng)絡強國［N］.人民日報，2014-02-28（01）.維護網(wǎng)絡安全就是維護國家安全。數(shù)據(jù)本地化作為維護國家網(wǎng)絡安全的有利措施，主要分為三種形態(tài)：第一種形態(tài)為最嚴格的本地化形態(tài)，在這種情況下，本國數(shù)據(jù)完全被限制出境，也就是說，數(shù)據(jù)必須完全存儲在本國境內，其他國家若想進入本國市場，必須在本國建立數(shù)據(jù)中心，用來存儲其國民數(shù)據(jù)；第二類，“禁止特定數(shù)據(jù)出境”，即國家只要求特定數(shù)據(jù)必須存儲在本地，其他數(shù)據(jù)可以自由流動；第三類，只要滿足法律規(guī)定的條件，數(shù)據(jù)便可以出境②孫雯.我國數(shù)據(jù)出境規(guī)則問題研究［D］.上海：華東政法大學，2020.。

我國當前跨境數(shù)據(jù)流動規(guī)制正處于不斷嘗試與探索階段，為盡可能維護我國國家數(shù)據(jù)主權，充分保障個人數(shù)據(jù)信息安全，便于國內執(zhí)法，呈現(xiàn)出明顯的數(shù)據(jù)本地化特征。在合理范圍內的數(shù)據(jù)本地化確實有利于數(shù)據(jù)安全與經(jīng)濟發(fā)展，但過度的數(shù)據(jù)本地化會切斷本國與其他國家之間經(jīng)濟合作的可能性，在一定程度上阻礙國內經(jīng)濟發(fā)展；同時，還會抑制中小企業(yè)尋求對外合作的積極性。另外，過度本地化措施不利于該國在互聯(lián)網(wǎng)空間中國際地位的提升。因此，我國在進行跨境數(shù)據(jù)流動規(guī)制時，應根據(jù)實際情況，在對數(shù)據(jù)進行合理分類的基礎上，選擇要進行數(shù)據(jù)本地化的數(shù)據(jù)，并思考用何種形態(tài)進行數(shù)據(jù)本地化。